Ny sårbarhed i databasen over Firefox-bugs

18. september 2015 kl. 11:593
En sikkerhedsvirksomhed har afsløret ny alvorlig fejl i Mozillas bug-database.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Tidligere på måneden blev det afsløret, at hackere har haft adgang til Bugzilla og udnyttet denne adgang til at finde sårbarheder i Firefox. Det blev også afsløret, at en af disse sårbarheder er blevet anvendt i en ondsindet reklame på en russisk nyhedshjemmeside.

Bugzillas database bruges til at registrere fejl i bl.a. Firefox, og kun nogle ganske få priviligerede administratorer har adgang til at se alvorlige sikkerhedsfejl, som kan udnyttes af hackere.

Sikkerhedsvirksomheden PerimeterX har netop afsløret en metode, som også giver adgang til Bugzilla. Mens de ukendte hackere fra den tidligere sag har fået adgang ved, at et administratormedlem havde dårlig adgangskodekultur, er den nye fejl baseret på et systematisk problem i databasens opbygning. Det skriver Wired.

Sikkerhedsfejlen går ud på at snyde Bugzillas proces for registrering af nye brugere ved at indtaste en ekstremt lang mailadresse. Sådan kan en bruger manipulere systemet til at tro, at man kommer fra en anerkendt organisation, selvom man ingen tilknytning har til denne. Sådan har PerimeterX været i stand til at få administratorpriviligier og se listen over alvorlige sikkerhedssårbarheder.

3 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
3
19. september 2015 kl. 17:53

Self er du delvis beskyttet af adblock( især hvis du har slettet deres skjulte white list) Og noscript i whitelistmode lukker for det meste ( men kun afhæng af dig adfærd ). Disconnect er vist kun mod tracking.

2
19. september 2015 kl. 00:31

Det må vel betyde at Mozilla folkene snart sender bug fixes ud i stor stil til Firefox :)

Men hvad hvis man har noscript / adblock / disconnect? Forhndrer de dette ondsindede hack?

1
18. september 2015 kl. 23:09

Den sidste sætning er forkert. PerimeterX var ifølge deres egen beskrivelse i stand til at få udvidede privilegier, men ikke administratorprivilegier. De var heller ikke i stand til at se listen over alvorlige sikkerhedssårbarheder, men påpeger, at det ville have været muligt, hvis den pågældende Bugzilla-installation var konfigureret anderledes. Listen over privilegier de fik adgang til ser dog stadig alvorlig ud. Den ser blandt andet ud til at indeholde data om fortrolige aftaler med Mozillas forretningspartnere.